Sentinela.
← Voltar pro blog

12 de maio de 2026 · 5 min · Carol

pentest auditoria security conformidade ASM

Pentest anual ou auditoria contínua: qual proteger mais?

Pentest é foto. Auditoria contínua é vídeo. Veja quando cada um faz sentido, o que custa, e por que a maioria das empresas precisa dos dois — mas em proporções diferentes.

"A gente já fez pentest ano passado."

É a frase que o CISO de uma fintech me disse quando perguntei sobre auditoria contínua. Três meses depois, o cliente dele descobriu — via report de bug bounty externo — uma rota /admin/export exposta. O pentest não pegou porque a rota não existia no momento da auditoria. Foi deploy de novembro.

Pentest e auditoria contínua não são a mesma coisa. Quem trata como sinônimo paga em incidente.

A diferença em uma frase

  • Pentest = um time de especialistas tenta invadir seu sistema durante 1–4 semanas, escreve relatório, vai embora.
  • Auditoria contínua = robôs verificam sua superfície externa todos os dias, comparam com o estado anterior, alertam o que mudou.

Pentest é foto de alta resolução. Auditoria contínua é vídeo em baixa resolução. Quem precisa identificar o cara, usa foto. Quem precisa saber se alguém entrou no prédio, usa vídeo. Você quer os dois — mas confundir um com o outro é caro.

O que cada um faz bem

Pentest

Forte em Por quê
Vulnerabilidades de lógica de negócio Robô não entende "esse usuário não devia ver pedido alheio"
Encadeamento de falhas Combinar XSS + CSRF + IDOR pra escalar — só humano vê
Profundidade autenticada Pentester loga, navega, abusa
Comprovação de impacto Relatório aceito por auditor externo, BC, conselho
Conformidade pontual PCI-DSS exige pentest anual

Auditoria contínua

Forte em Por quê
Drift entre pentests O .env esquecido em prod aparece 3 dias depois do deploy, não 8 meses depois no próximo pentest
Superfície que muda Subdomínios novos, certificados expirando, headers que sumiram, portas que abriram
Vulnerabilidades CVE públicas CVE novo sai → no dia seguinte sua versão exposta de nginx já está sinalizada
Custo por checagem Centavos por varredura, escala automática
Histórico evolutivo "Em janeiro estávamos com nota C, hoje B. O que mudou?"

Onde cada um falha

Pentest falha quando:

  • O sistema muda toda semana e o pentest foi há 6 meses.
  • O escopo foi reduzido pra caber no orçamento ("só a aplicação, sem infra").
  • O pentester é júnior e roda Nessus disfarçado.
  • O relatório vira PDF de prateleira que ninguém leu.

Auditoria contínua falha quando:

  • Tratada como substituta de pentest pra coisas que exigem inteligência humana.
  • Sem ninguém olhando os alertas (vira ruído).
  • Configurada com escopo errado (só varre 1 domínio quando você tem 80 subdomínios).
  • Não diferencia ruído de WP core vs achado real do seu código.

Custo comparativo

Numa stack típica de empresa de médio porte em BR:

Frente a frente · stack média BR
Pentest anual pontual
Auditoria contínua 24/7
Custo
R$ 25k – 120k por engajamento
R$ 200 – 2k / mês
Frequência
1×/ano · PCI exige
24/7
Tempo até resultado
2–6 semanas
minutos
Reauditoria pós-fix
em geral custa extra
automática
Cobertura de drift
zero
total
Mesma defesa, ritmos opostos. Quem só faz pentest cobre o dia da auditoria; quem só faz contínuo cobre todos os outros dias. O par cobre o ano inteiro.

O custo de um incidente de média gravidade no Brasil (multa LGPD + remediação + reputação) costuma passar de R$ 500 mil. Os dois investimentos juntos não chegam a 5% disso.

A regra prática (e por que a maioria erra)

A maioria das empresas brasileiras faz pentest anual porque a auditoria/PCI cobra, e não tem nada entre um pentest e o outro. Onze meses por ano elas são cegas pro que muda.

A regra honesta:

  • Empresa que faz deploy semanal ou mais: auditoria contínua não é opcional. Pentest anual cobre profundidade; contínuo cobre drift.
  • Empresa regulada (PCI, ISO 27001, LGPD com dados sensíveis): pentest é exigência formal. Auditoria contínua é o que reduz o risco entre pentests.
  • Empresa pequena, site institucional, pouco código próprio: auditoria contínua sozinha cobre 80% do risco real (subdomínio órfão, cert vencendo, header faltando, secret vazado em repo). Pentest pode esperar até crescer ou aparecer dado sensível.

A inversão que vejo no mercado: empresa que faz pentest anual e nada no meio. Isso protege a auditoria, não o negócio.

Onde Sentinela entra (e onde não entra)

O Sentinela é a camada de auditoria contínua externa. A gente roda:

  • Probes de DNS, TLS, headers, portas abertas, banners de servidor
  • Detecção de subdomínios e CNAMEs órfãos
  • CVE matching em tecnologias detectadas
  • SAST + secret scanning em repositório quando você conecta
  • Score A–F atualizado a cada ciclo, com histórico

O que não somos:

  • Pentest com humano (não tem julgamento de lógica de negócio nem encadeamento).
  • Substituto pra relatório formal de PCI/ISO (somos evidência complementar, não primária).

A combinação que recomendo pra cliente:

  1. Sentinela rodando 24/7 — pega 80% do que importa, no momento que importa.
  2. Pentest anual com firma boa, com escopo realista (incluindo a superfície que o Sentinela mapeou — economiza dia de pentester reconhecendo o ambiente).
  3. Reauditoria do pentest pós-fix — pequena, mas crítica.

Para entender melhor o lado contínuo, vale ler ASM (Attack Surface Management) explicado.

A regra simples

Pentest sem auditoria contínua é planejar segurança como quem fotografa o cofre uma vez por ano e assume que ninguém mexeu nele entre as fotos. Funciona até o dia em que alguém mexeu.

Continue lendo